[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[BestiAA]

Второй. Просто для примера поменял имя домена.

[vovan1982]

Второй. Просто для примера поменял имя домена.

в корне не верно, посмотри как olcAccess оформлен в первом и сделай так же
и поудаляй пусты строки между строк, оставь только между строками

olcModuleload: back_hdb.la
и
dn: olcDatabase={1}hdb,cn=config
 
и раздели пробелом olcRootPW: и {MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ==

если после редактирования при добавлении появится ошибка

adding new entry "cn=module,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: <olcModuleLoad> handler exited with 1

удали из db.ldif строки

Код: [Выделить]

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: back_hdb.la


[mom1]

Когда выдаёт "Сбой при проверке подлиности"?
установи mc и посмотри видит система пользователей и группы из ldap или нет.
либо выполни команды

getent passwd и getent group

Да графика стоит! В ней и выдает Сбой при проверке подлиности" при входе.

mc можно без графики юзать? а копи пастить можно?
 пользаков и групп нет!

Где я лажанул?

getent passwd

(Нажмите, чтобы показать/скрыть)

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false
mysql:x:102:105:MySQL Server,,,:/var/lib/mysql:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
landscape:x:104:110::/var/lib/landscape:/bin/false
admins:x:1000:1000:admins,,,:/home/admins:/bin/bash
messagebus:x:105:114::/var/run/dbus:/bin/false
usbmux:x:106:46:usbmux daemon,,,:/home/usbmux:/bin/false
pulse:x:107:115:PulseAudio daemon,,,:/var/run/pulse:/bin/false
rtkit:x:108:117:RealtimeKit,,,:/proc:/bin/false
gdm:x:109:118:Gnome Display Manager:/var/lib/gdm:/bin/false
haldaemon:x:110:120:Hardware abstraction layer,,,:/var/run/hald:/bin/false
ntp:x:111:121::/home/ntp:/bin/false
openldap:x:112:122:OpenLDAP Server Account,,,:/nonexistent:/bin/false

getent group

(Нажмите, чтобы показать/скрыть)

root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:admins
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:admins
fax:x:21:
voice:x:22:
cdrom:x:24:admins
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:pulse
dip:x:30:
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:admins
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
libuuid:x:101:
crontab:x:102:
syslog:x:103:
fuse:x:104:
mysql:x:105:
mlocate:x:106:
ssh:x:107:
ssl-cert:x:108:openldap
netdev:x:109:
landscape:x:110:
admins:x:1000:
lpadmin:x:111:admins
sambashare:x:112:admins
admin:x:113:admins
messagebus:x:114:
pulse:x:115:
pulse-access:x:116:
rtkit:x:117:
gdm:x:118:
nopasswdlogin:x:119:
haldaemon:x:120:
ntp:x:121:
openldap:x:122:

[vovan1982]

Когда выдаёт "Сбой при проверке подлиности"?
установи mc и посмотри видит система пользователей и группы из ldap или нет.
либо выполни команды

getent passwd и getent group

Да графика стоит! В ней и выдает Сбой при проверке подлиности" при входе.

mc можно без графики юзать? а копи пастить можно?
 пользаков и групп нет!

Где я лажанул?

getent passwd

(Нажмите, чтобы показать/скрыть)

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false
mysql:x:102:105:MySQL Server,,,:/var/lib/mysql:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
landscape:x:104:110::/var/lib/landscape:/bin/false
admins:x:1000:1000:admins,,,:/home/admins:/bin/bash
messagebus:x:105:114::/var/run/dbus:/bin/false
usbmux:x:106:46:usbmux daemon,,,:/home/usbmux:/bin/false
pulse:x:107:115:PulseAudio daemon,,,:/var/run/pulse:/bin/false
rtkit:x:108:117:RealtimeKit,,,:/proc:/bin/false
gdm:x:109:118:Gnome Display Manager:/var/lib/gdm:/bin/false
haldaemon:x:110:120:Hardware abstraction layer,,,:/var/run/hald:/bin/false
ntp:x:111:121::/home/ntp:/bin/false
openldap:x:112:122:OpenLDAP Server Account,,,:/nonexistent:/bin/false

getent group

(Нажмите, чтобы показать/скрыть)

root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:admins
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:admins
fax:x:21:
voice:x:22:
cdrom:x:24:admins
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:pulse
dip:x:30:
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:admins
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
libuuid:x:101:
crontab:x:102:
syslog:x:103:
fuse:x:104:
mysql:x:105:
mlocate:x:106:
ssh:x:107:
ssl-cert:x:108:openldap
netdev:x:109:
landscape:x:110:
admins:x:1000:
lpadmin:x:111:admins
sambashare:x:112:admins
admin:x:113:admins
messagebus:x:114:
pulse:x:115:
pulse-access:x:116:
rtkit:x:117:
gdm:x:118:
nopasswdlogin:x:119:
haldaemon:x:120:
ntp:x:121:
openldap:x:122:

Если пользователей и групп нет значит сервер НЕ получил доступ к ldap.

mc можно без графики юзать?

да

а копи пастить можно?

всмысле, внутри редактора можно как и в любом другом.

Выполни запрос к ldap

ldapsearch -Zx -b ou=Users,dc=example,dc=com -D "cn=admin,dc=example,dc=com" "uid=*" -W

вместо cn=admin,dc=example,dc=com поставь своего админа ldap и dc=example,dc=com замени на свой, этот запрос спросит у тебя пароль админа ldap
если аутентификацию пройдёшь покажет пользователей, не пройдёшь выдаст ошибку, так проверишь доступ к ldap
ошибка может появится и до ввода пароля, так что повнимательней

[mom1]

Да выскочило до ввода пароля

ldap_start_tls: Connect error (-11)
   additional info: TLS: hostname does not match CN in peer certificate


а какв  mc развернуть группу?

офигенный mc. как far
а нафиг GUI снести можно?
Пользователь решил продолжить мысль 19 Апреля 2011, 17:39:12:

всмысле, внутри редактора можно как и в любом другом.

а из редактора в командную строку?

[vovan1982]

Да выскочило до ввода пароля

ldap_start_tls: Connect error (-11)
   additional info: TLS: hostname does not match CN in peer certificate


а какв  mc развернуть группу?

офигенный mc. как far
а нафиг GUI снести можно?
Пользователь решил продолжить мысль 19 Апреля 2011, 17:39:12:

всмысле, внутри редактора можно как и в любом другом.

а из редактора в командную строку?

Твоя проблема уже поднималась здесь
https://forum.ubuntu.ru/index.php?topic=123425.msg1003505#msg1003505

а какв  mc развернуть группу?

Читай в статье начинается со слов "Теперь проверим видит наш сервер пользователей в LDAP"
переход в меню клавиша F9

а нафиг GUI снести можно?

на данный момент думаю пока не стоит, побольше работай с консолью, как сможешь обходиться без GUI так и сноси

а из редактора в командную строку?

нет, этого не позволяет делать сама консоль, редактор тут ни причём.

[mom1]

Да выскочило до ввода пароля

ldap_start_tls: Connect error (-11)
   additional info: TLS: hostname does not match CN in peer certificate


а какв  mc развернуть группу?

офигенный mc. как far
а нафиг GUI снести можно?
Пользователь решил продолжить мысль 19 Апреля 2011, 17:39:12:

всмысле, внутри редактора можно как и в любом другом.

а из редактора в командную строку?

Твоя проблема уже поднималась здесь
https://forum.ubuntu.ru/index.php?topic=123425.msg1003505#msg1003505

а какв  mc развернуть группу?

Читай в статье начинается со слов "Теперь проверим видит наш сервер пользователей в LDAP"
переход в меню клавиша F9

а нафиг GUI снести можно?

на данный момент думаю пока не стоит, побольше работай с консолью, как сможешь обходиться без GUI так и сноси

а из редактора в командную строку?

нет, этого не позволяет делать сама консоль, редактор тут ни причём.

Вооооо я думал строку
SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"
надо в терминал сувать )))
Пользователь решил продолжить мысль 19 Апреля 2011, 20:10:26:что то не помогло пересоздание ключей
продолжает говорить что  TLS: hostname does not match CN in peer certificate
создание ключей hostname в ключи откуда берет, из /etc/ssl/ldap01.info параметр cn ?

Пользователь решил продолжить мысль 19 Апреля 2011, 20:37:45:hostname -f -выдает udom
в /etc/ssl создал файлик udom.info в нем cn=udom

создаю сертификаты так

Код: [Выделить]

certtool --generate-self-signed --load-privkey /etc/ssl/private/cakey.pem \
--template  /etc/ssl/ca.info --outfile /etc/ssl/certs/cacert.pem

sh -c "certtool --generate-privkey > /etc/ssl/private/udom_slapd_key.pem"

certtool --generate-certificate --load-privkey /etc/ssl/private/udom_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/udom.info --outfile /etc/ssl/certs/udom_slapd_cert.pem

[yujin1st]

ругается на "cn=module,cn=config", скорей всего модуль уже добавлен, удали из db.ldif строки в начале
и попробуй ещё раз добавить db.ldif, если будет ошибка покажи её и результат команды
ls -1 /etc/ldap/slapd.d/cn\=config/cn\=schema

В итоге переустановив сервер еще раз, благополучно минули этот перевал, однако при установке gosa в на этапе LDAP setup при заполнении admin dn выводится ошибка: Bind as user  'cn=admin,dc=zabcdo,dc=ru' failed!' Скриншот

[vovan1982]

ругается на "cn=module,cn=config", скорей всего модуль уже добавлен, удали из db.ldif строки в начале
и попробуй ещё раз добавить db.ldif, если будет ошибка покажи её и результат команды
ls -1 /etc/ldap/slapd.d/cn\=config/cn\=schema

В итоге переустановив сервер еще раз, благополучно минули этот перевал, однако при установке gosa в на этапе LDAP setup при заполнении admin dn выводится ошибка: Bind as user  'cn=admin,dc=zabcdo,dc=ru' failed!' Скриншот

а пароль для админа ldap указать 

[yujin1st]

ругается на "cn=module,cn=config", скорей всего модуль уже добавлен, удали из db.ldif строки в начале
и попробуй ещё раз добавить db.ldif, если будет ошибка покажи её и результат команды
ls -1 /etc/ldap/slapd.d/cn\=config/cn\=schema

В итоге переустановив сервер еще раз, благополучно минули этот перевал, однако при установке gosa в на этапе LDAP setup при заполнении admin dn выводится ошибка: Bind as user  'cn=admin,dc=zabcdo,dc=ru' failed!' Скриншот

а пароль для админа ldap указать 

=) это просто стерто.
Видимо с ошибкой набирал, в результате все нормально. Спасибо. Буду разбираться.

[Braind]

Подскажите пожалуйста если при вводе команды
ldapmodify
пишет can't contact LDAP server (-1)
чего делать?

и ещё вопрос с чем связано в когда конфигурим Ldap там везде свой домен а в суффиксах базы по умолчанию почему так

[vovan1982]

Подскажите пожалуйста если при вводе команды
ldapmodify
пишет can't contact LDAP server (-1)
чего делать?

и ещё вопрос с чем связано в когда конфигурим Ldap там везде свой домен а в суффиксах базы по умолчанию почему так

если "can't contact LDAP server (-1)" значит ldap не запущен, лезешь в логи и ищешь причину по которой он не запускается, как правило это
ошибка в конфигурации.

а на счёт

и ещё вопрос с чем связано в когда конфигурим Ldap там везде свой домен а в суффиксах базы по умолчанию почему так

чё-то не могу уловить смысл вопроса 

[Braind]

и ещё вопрос с чем связано в когда конфигурим Ldap там везде свой домен а в суффиксах базы по умолчанию почему так

чё-то не могу уловить смысл вопроса 
[/quote]

Вопрос в том это в статье ошибка или так надо

[vovan1982]

и ещё вопрос с чем связано в когда конфигурим Ldap там везде свой домен а в суффиксах базы по умолчанию почему так

чё-то не могу уловить смысл вопроса 

Вопрос в том это в статье ошибка или так надо
[/quote]

я сам вопрос понять не могу, приведи пример.

[Braind]

Исправьте в созданном файле имя домена. Например, если ваш сервер называется servak.kontora.ru, то вам нужно заменить dc=example,dc=com на dc=kontora,dc=ru во всём тексте.

Редактируем /etc/ldap/ldap.conf Указываем суффикс базы, в данном случае это dc=example,dc=com
BASE   dc=example,dc=com
URI     ldap://localhost ldaps://«hostname -f вашего сервера»
TLS_CACERT      /etc/ssl/certs/cacert.pem

вот здесь надо подставлять dc=kontora,dc=ru или оставить dc=example,dc=com